Απογοητευθήκατε από τις συνέπειες του Heartbleed; Δεν είσαι μόνος. Το μικροσκοπικό σφάλμα στην πιο δημοφιλή βιβλιοθήκη SSL στον κόσμο άνοιξε τεράστιες τρύπες στην ασφάλεια επικοινωνίες με όλα τα είδη ιστοτόπων, εφαρμογών και υπηρεσιών που βασίζονται σε σύννεφο — και οι τρύπες δεν είναι καν όλες μπαλωμένο ακόμα.
Το σφάλμα Heartbleed επέτρεψε στους εισβολείς να ξεφλουδίσουν την ανθεκτική στο snoop επένδυση του OpenSSL και να κρυφοκοιτάξουν τις επικοινωνίες μεταξύ πελάτη και διακομιστή. Αυτό έδωσε στους χάκερ μια ματιά σε πράγματα όπως κωδικούς πρόσβασης και cookies περιόδου λειτουργίας, τα οποία είναι μικρά κομμάτια δεδομένων που Ο διακομιστής σας στέλνει αφού συνδεθείτε και το πρόγραμμα περιήγησής σας στέλνει πίσω κάθε φορά που κάνετε κάτι για να αποδείξει ότι είναι εσείς. Και αν το σφάλμα επηρέασε έναν οικονομικό ιστότοπο, ενδέχεται να έχουν εμφανιστεί άλλες ευαίσθητες πληροφορίες που διαβιβάζατε μέσω του Διαδικτύου, όπως στοιχεία πιστωτικής κάρτας ή φορολογίας.
Προτεινόμενα βίντεο
Πώς μπορεί το Διαδίκτυο να προστατευτεί καλύτερα από καταστροφικά σφάλματα όπως αυτό; Έχουμε μερικές ιδέες.
Ναι, χρειάζεστε πιο ασφαλείς κωδικούς πρόσβασης: Δείτε πώς να τους δημιουργήσετε
Εντάξει, λοιπόν, οι καλύτεροι κωδικοί πρόσβασης δεν θα εμπόδιζαν το επόμενο Heartbleed, αλλά μπορεί κάποια μέρα να σας σώσουν από το χακάρισμα. Πολλοί άνθρωποι είναι απλά απαίσιοι στη δημιουργία ασφαλών κωδικών πρόσβασης.
Τα έχετε ακούσει όλα στο παρελθόν: μην χρησιμοποιείτε "password1", "password2" κ.λπ. Οι περισσότεροι κωδικοί πρόσβασης δεν έχουν αρκετό από αυτό που ονομάζεται εντροπία - σίγουρα είναι δεν τυχαία και αυτοί θα μαντέψτε εάν ένας επιτιθέμενος έχει ποτέ την ευκαιρία να κάνει πολλές εικασίες, είτε χτυπώντας το σερβίς είτε (πιθανότερο) κλοπή των κατακερματισμών κωδικών πρόσβασης—μαθηματικές παραγώγιες των κωδικών πρόσβασης που μπορούν να ελεγχθούν αλλά δεν μπορούν να αντιστραφούν ξανά στο αρχικό Κωδικός πρόσβασης.
Ό, τι κι αν κάνετε, μην χρησιμοποιείτε τον ίδιο κωδικό πρόσβασης σε περισσότερα από ένα μέρη.
Το λογισμικό ή οι υπηρεσίες διαχείρισης κωδικών πρόσβασης που χρησιμοποιούν κρυπτογράφηση από άκρο σε άκρο μπορούν επίσης να βοηθήσουν. KeePass είναι ένα καλό παράδειγμα του πρώτου? LastPass του τελευταίου. Φυλάξτε καλά το email σας, καθώς μπορεί να χρησιμοποιηθεί για την επαναφορά των περισσότερων από τους κωδικούς πρόσβασής σας. Και ό, τι κι αν κάνετε, μην χρησιμοποιείτε τον ίδιο κωδικό πρόσβασης σε περισσότερα από ένα μέρη - απλώς ζητάτε προβλήματα.
Οι ιστότοποι πρέπει να εφαρμόζουν κωδικούς πρόσβασης μίας χρήσης
Το OTP σημαίνει "ένας κωδικός πρόσβασης" και μπορείτε να τον χρησιμοποιήσετε ήδη εάν έχετε ρυθμίσει έναν ιστότοπο/υπηρεσία που απαιτεί να χρησιμοποιήσετε Επαληθευτής Google. Οι περισσότεροι από αυτούς τους ελέγχους ταυτότητας (συμπεριλαμβανομένης της Google) χρησιμοποιούν ένα πρότυπο Διαδικτύου που ονομάζεται TOTP ή Κωδικός πρόσβασης μίας χρήσης βάσει χρόνου, που περιγράφεται εδώ.
Τι είναι το TOTP; Με λίγα λόγια, ο ιστότοπος στον οποίο βρίσκεστε δημιουργεί έναν μυστικό αριθμό, ο οποίος μεταβιβάζεται μία φορά στο πρόγραμμα ελέγχου ταυτότητας, συνήθως μέσω ενός Κωδικός QR. Στην παραλλαγή με βάση το χρόνο, ένας νέος εξαψήφιος αριθμός δημιουργείται από αυτόν τον μυστικό αριθμό κάθε 30 δευτερόλεπτα. Ο ιστότοπος και ο πελάτης (ο υπολογιστής σας) δεν χρειάζεται να επικοινωνήσουν ξανά. Οι αριθμοί εμφανίζονται απλώς στον έλεγχο ταυτότητας και τους παρέχετε στον ιστότοπο όπως σας ζητήθηκε σε συνδυασμό με τον κωδικό πρόσβασής σας και είστε μέσα. Υπάρχει επίσης μια παραλλαγή που λειτουργεί στέλνοντας τους ίδιους κωδικούς σε εσάς μέσω μηνύματος κειμένου.
Πλεονεκτήματα του TOTP: Ακόμα κι αν το Heartbleed ή ένα παρόμοιο σφάλμα είχε ως αποτέλεσμα την αποκάλυψη τόσο του κωδικού πρόσβασής σας όσο και του αριθμού στον έλεγχο ταυτότητας, τον ιστότοπο στον οποίο είστε Η αλληλεπίδραση με έχει σχεδόν σίγουρα επισημάνει αυτόν τον αριθμό ως χρησιμοποιημένο και δεν μπορεί να χρησιμοποιηθεί ξανά—και ούτως ή άλλως θα είναι άκυρος εντός 30 δευτερολέπτων. Εάν ένας ιστότοπος δεν προσφέρει ήδη αυτήν την υπηρεσία, πιθανότατα μπορεί να το κάνει σχετικά εύκολα και εάν έχετε σχεδόν οποιοδήποτε smartphone, μπορείτε να εκτελέσετε έναν έλεγχο ταυτότητας. Είναι ελαφρώς άβολο να συμβουλευτείτε το τηλέφωνό σας για να συνδεθείτε, είναι δεδομένο, αλλά το όφελος ασφαλείας για οποιαδήποτε υπηρεσία σας ενδιαφέρει το αξίζει.
Κίνδυνοι του TOTP: Εισβολή σε διακομιστή α διαφορετικός τρόπο θα μπορούσε να οδηγήσει στην αποκάλυψη του μυστικού αριθμού, επιτρέποντας στον εισβολέα να δημιουργήσει τον δικό του έλεγχο ταυτότητας. Αλλά αν χρησιμοποιείτε TOTP σε συνδυασμό με έναν κωδικό πρόσβασης που δεν είναι αποθηκευμένος από τον ιστότοπο, οι περισσότεροι καλοί πάροχοι αποθηκεύουν ένα hash που είναι ισχυρά ανθεκτικός στην αντίστροφη μηχανική του—τότε μεταξύ των δύο, ο κίνδυνος σας είναι πολύ χαμηλωμένο.
Η ισχύς των πιστοποιητικών πελατών (και ποια είναι αυτά)
Πιθανότατα δεν έχετε ακούσει ποτέ για πιστοποιητικά πελατών, αλλά στην πραγματικότητα υπάρχουν εδώ και πολύ καιρό (στα χρόνια του Διαδικτύου, φυσικά). Ο λόγος που πιθανώς δεν έχετε ακούσει γι 'αυτούς είναι ότι είναι μια αγγαρεία. Είναι πολύ πιο εύκολο να κάνετε απλώς τους χρήστες να επιλέξουν έναν κωδικό πρόσβασης, επομένως μόνο οι ιστότοποι υψηλής ασφάλειας τείνουν να χρησιμοποιούν πιστοποιητικά.
Τι είναι το πιστοποιητικό πελάτη; Τα πιστοποιητικά πελάτη αποδεικνύουν ότι είστε το άτομο που ισχυρίζεστε ότι είστε. Το μόνο που έχετε να κάνετε είναι να το εγκαταστήσετε (και ένα λειτουργεί σε πολλούς ιστότοπους) στο πρόγραμμα περιήγησής σας και, στη συνέχεια, να επιλέξετε να το χρησιμοποιήσετε όταν ένας ιστότοπος θέλει να κάνετε έλεγχο ταυτότητας. Αυτά τα πιστοποιητικά είναι στενός ξάδελφος των πιστοποιητικών SSL που χρησιμοποιούν οι ιστότοποι για την ταυτοποίησή τους στον υπολογιστή σας.
Ο πιο αποτελεσματικός τρόπος με τον οποίο ένας ιστότοπος μπορεί να προστατεύσει τα δεδομένα σας είναι να μην τον έχετε ποτέ στην κατοχή του.
Πλεονεκτήματα των πιστοποιητικών πελατών: Ανεξάρτητα από το πόσους ιστότοπους συνδέεστε με πιστοποιητικό πελάτη, η δύναμη των μαθηματικών είναι με το μέρος σας. Κανείς δεν θα μπορεί να χρησιμοποιήσει το ίδιο πιστοποιητικό για να προσποιηθεί ότι είστε εσείς, ακόμα κι αν παρακολουθεί τη συνεδρία σας.
Κίνδυνοι των πιστοποιητικών πελατών: Ο πρωταρχικός κίνδυνος ενός πιστοποιητικού πελάτη είναι ότι κάποιος μπορεί να διαρρήξει τα δικα σου υπολογιστή και να τον κλέψουν, αλλά υπάρχουν μέτρα μετριασμού για αυτόν τον κίνδυνο. Ένα άλλο πιθανό ζήτημα είναι ότι τα τυπικά πιστοποιητικά πελατών φέρουν ορισμένες πληροφορίες ταυτότητας που μπορεί να μην θέλετε να αποκαλύψετε σε κάθε ιστότοπο που χρησιμοποιείτε. Παρόλο που τα πιστοποιητικά πελάτη υπάρχουν για πάντα, και υπάρχει υποστήριξη εργασίας στον διακομιστή Web λογισμικού, υπάρχει ακόμη πολλή δουλειά να γίνει τόσο από την πλευρά των παρόχων υπηρεσιών όσο και από τα προγράμματα περιήγησης δουλεύουν Καλά. Επειδή χρησιμοποιούνται τόσο σπάνια, τραβούν λίγη προσοχή στην ανάπτυξη.
Το πιο σημαντικό: Κρυπτογράφηση από άκρο σε άκρο
Ο πιο αποτελεσματικός τρόπος με τον οποίο ένας ιστότοπος μπορεί να προστατεύσει τα δεδομένα σας είναι να μην τον έχετε ποτέ στην κατοχή του – τουλάχιστον, όχι μια έκδοση που μπορεί να διαβάσει. Εάν ένας ιστότοπος μπορεί να διαβάσει τα δεδομένα σας, ένας εισβολέας με επαρκή πρόσβαση μπορεί να διαβάσει τα δεδομένα σας. Αυτός είναι ο λόγος που μας αρέσει η κρυπτογράφηση από άκρο σε άκρο (E2EE).
Τι είναι η κρυπτογράφηση από άκρο σε άκρο; Αυτό σημαίνει ότι εσείς κρυπτογράφηση τα δεδομένα στο τέλος σας, και αυτό στήριγμα κρυπτογραφημένο μέχρι να φτάσει στο άτομο για το οποίο το σκοπεύετε ή να επιστρέψει σε εσάς.
Πλεονεκτήματα του E2EE: Η κρυπτογράφηση από άκρο σε άκρο εφαρμόζεται ήδη σε λίγες υπηρεσίες, όπως υπηρεσίες δημιουργίας αντιγράφων ασφαλείας στο διαδίκτυο. Υπάρχουν επίσης πιο αδύναμες εκδόσεις του σε ορισμένες υπηρεσίες ανταλλαγής μηνυμάτων, ειδικά εκείνες που εμφανίστηκαν μετά τις αποκαλύψεις του Σνόουντεν. Είναι δύσκολο για τους ιστότοπους να κάνουν κρυπτογράφηση από άκρο σε άκρο, ωστόσο, για δύο λόγους: μπορεί να χρειαστεί να δουν τα δεδομένα σας για να παρέχουν τις υπηρεσίες τους και τα προγράμματα περιήγησης Ιστού είναι τρομερά στην εκτέλεση E2EE. Αλλά στην εποχή της εφαρμογής smartphone, η κρυπτογράφηση από άκρο σε άκρο είναι κάτι που μπορεί και πρέπει να γίνεται πιο συχνά. Οι περισσότερες εφαρμογές δεν χρησιμοποιούν το E2EE σήμερα, αλλά ελπίζουμε ότι θα δούμε περισσότερα από αυτό στο μέλλον. Εάν οι εφαρμογές σας δεν χρησιμοποιούν E2EE για τα ευαίσθητα δεδομένα σας, θα πρέπει να παραπονεθείτε.
Κίνδυνοι του E2EE: Για να λειτουργήσει η κρυπτογράφηση από άκρο σε άκρο, πρέπει να γίνει παντού. Ένα κομμάτι μη κρυπτογραφημένων δεδομένων μπορεί μερικές φορές να χρησιμοποιηθεί για να αποκτήσετε πρόσβαση στα υπόλοιπα. Η ασφάλεια είναι ένα παιχνίδι με τον πιο αδύναμο κρίκο. μόνο ένας κρίκος στην αλυσίδα πρέπει να αποτύχει να το σπάσει.
Και τώρα τι?
Προφανώς, δεν υπάρχουν πολλά που μπορείτε, ως χρήστης, να ελέγξετε. Θα είστε τυχεροί να βρείτε μια υπηρεσία που χρησιμοποιεί κωδικούς πρόσβασης μίας χρήσης με έναν έλεγχο ταυτότητας. Αλλά σίγουρα θα πρέπει να μιλήσετε με τους ιστότοπους και τις εφαρμογές που χρησιμοποιείτε και να τους ενημερώσετε ότι αντιλαμβάνεστε σφάλματα σε λογισμικό συμβαίνει και πιστεύετε ότι θα πρέπει να λάβουν πιο σοβαρά υπόψη την ασφάλεια και να μην βασίζονται απλώς σε αυτήν κωδικούς πρόσβασης.
Εάν περισσότεροι από το Διαδίκτυο χρησιμοποιούν αυτές τις προηγμένες μεθόδους ασφαλείας, ίσως την επόμενη φορά να υπάρξει μια καταστροφή λογισμικού σε κλίμακα Heartbleed—και εκεί θα να είναι, τελικά - δεν θα χρειαστεί να πανικοβληθούμε τόσο πολύ.
[Η εικόνα είναι ευγενική προσφορά του δρεπάνι5/Shutterstock]
